Geng Ransomware Crazy Manfaatkan Software Monitoring Karyawan untuk Serangan

Seorang anggota geng ransomware Crazy dilaporkan menyalahgunakan perangkat lunak monitoring karyawan yang sah serta tool remote support SimpleHelp untuk mempertahankan akses di jaringan perusahaan, menghindari deteksi, dan mempersiapkan penyebaran ransomware.

Temuan ini diungkap peneliti keamanan dari Huntress yang menyelidiki beberapa insiden di mana pelaku memasang Net Monitor for Employees Professional bersama SimpleHelp pada jaringan yang telah diretas.

Instalasi Lewat msiexec dan Akses Penuh Sistem

Dalam salah satu kasus, penyerang menginstal Net Monitor for Employees Professional menggunakan utilitas Windows Installer (msiexec.exe). Metode ini memungkinkan mereka mengunduh dan memasang agen monitoring langsung dari situs resmi pengembang, sehingga tampak seperti aktivitas administratif normal.

Setelah terpasang, software tersebut memberi pelaku kemampuan untuk:

• Melihat desktop korban secara real-time
• Mentransfer file
• Menjalankan perintah jarak jauh

Dengan kata lain, pelaku memperoleh akses interaktif penuh ke sistem yang terkompromi.

Selain itu, mereka juga mencoba mengaktifkan akun administrator lokal melalui perintah:

net user administrator /active:yes

Langkah ini bertujuan memperluas kontrol dan memperkuat persistensi di dalam sistem.

Redundansi dengan SimpleHelp

Sebagai cadangan jika software monitoring terdeteksi atau dihapus, pelaku juga memasang klien remote access SimpleHelp melalui perintah PowerShell. File tersebut sering disamarkan dengan nama menyerupai komponen sah seperti vshost.exe milik Visual Studio.

Dalam beberapa kasus, binary SimpleHelp juga disamarkan seolah-olah terkait dengan OneDrive, misalnya:

C:\ProgramData\OneDriveSvc\OneDriveSvc.exe

Strategi ini memberikan lapisan akses tambahan sehingga pelaku tetap dapat masuk meskipun salah satu tool terungkap.

Upaya Menonaktifkan Windows Defender

Peneliti juga menemukan upaya untuk menonaktifkan Windows Defender dengan menghentikan dan menghapus layanan terkait. Praktik ini umum dilakukan sebelum tahap akhir serangan ransomware untuk mengurangi hambatan keamanan.

Pemantauan Dompet Kripto dan Tool Remote

Dalam satu insiden, pelaku mengonfigurasi aturan monitoring di SimpleHelp untuk memberi notifikasi ketika perangkat mengakses layanan dompet kripto atau tool manajemen jarak jauh.

Kata kunci yang dipantau mencakup layanan dompet seperti MetaMask dan Exodus, berbagai bursa kripto, hingga explorer blockchain. Selain itu, istilah terkait RDP, AnyDesk, TeamViewer, VNC, dan sejenisnya juga dipantau guna mengetahui apakah ada pihak lain yang sedang terhubung ke sistem.

Langkah ini menunjukkan bahwa pelaku tidak hanya mempersiapkan penyebaran ransomware, tetapi juga kemungkinan pencurian aset kripto.

Indikasi Pelaku yang Sama

Huntress menyebut bahwa penggunaan nama file yang sama (vhost.exe) serta infrastruktur command-and-control (C2) yang tumpang tindih menunjukkan kemungkinan besar kedua insiden dilakukan oleh operator yang sama.

Meskipun hanya satu kasus berujung pada penyebaran ransomware Crazy, pola teknik yang identik memperkuat dugaan keterlibatan kelompok yang sama.

Tren Penyalahgunaan Tool Sah

Penggunaan software remote management dan monitoring yang sah semakin umum dalam serangan ransomware. Dengan memanfaatkan tool resmi, pelaku dapat menyamarkan aktivitasnya sebagai lalu lintas jaringan normal dan menghindari kecurigaan.

Kedua insiden ini juga dipicu oleh kredensial SSL VPN yang bocor atau disusupi. Oleh karena itu, organisasi disarankan:

• Memantau instalasi tool remote monitoring atau remote support yang tidak sah
• Mewajibkan autentikasi multi-faktor (MFA) pada seluruh layanan akses jarak jauh
• Meninjau ulang kebijakan akses administratif

Kasus ini menegaskan bahwa serangan modern tidak selalu bergantung pada malware eksotis, melainkan sering memanfaatkan perangkat lunak legal untuk menyusup dan bertahan di dalam jaringan korban.